Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

In zeven stappen een effectief security awareness programma

Veel organisaties werken aan de bewustwording van medewerkers voor informatiebeveiliging. Ze doen een rondje langs het werkoverleg, hangen posters op bij de koffieautomaat en zorgen voor een up-to-date informatiebeveiligings-plan op het intranet. Toch geven medewerkers aan het programma niet te hebben opgemerkt. Het programma heeft onvoldoende impact en wordt ervaren als: ‘just background noise’. “Hoe zorg je voor een awareness programma dat wél werkt?”

De kunst van het veranderen
Wat werkt dan wel? Hoe breng je medewerkers nut en noodzaak van informatiebeveiliging wel bij? Om dit succesvol te doen maken we gebruik van een aantal veranderkundige principes. Welke zijn dit en hoe kunnen we deze succesfactoren inzetten bij het inrichten van een security awareness programma? Het succes zit in hem in het volgen van het 7-staps model security awareness.

Stap 1: Voer een risico-analyse uit
Een awareness programma dient aan te sluiten bij de business. Wat zijn de risico’s die naar voren komen uit de risicoanalyse. Het awareness programma dient aantoonbaar bij te dragen aan het verlagen van risico’s.

‘Wat zijn de ‘kroonjuwelen’ van de organisatie die we willen beschermen?’  

Voor succes op de lange termijn is het belangrijk dat het programma niet ‘stand-alone’ draait, maar is verankerd in de werkprocessen binnen de organisatie.

Stap 2: Integrale aanpak: mens, organisatie en techniek
Met een awareness programma ben je er nog niet. Zorg ook voor dat het programma naadloos aansluit bij en ondersteunt wordt door organisatorische en technische maatregelen. De keten is immers zo sterk als de zwakste schakel. Dus zorg er voor dat je op al de onderdelen blijft investeren: mens, organisatie en techniek.

Stap 3: Monitoren
Bepaal vooraf wat je met het awareness programma wilt realiseren. Maak dit concreet en start met een awareness assessment of een nulmeting. Bespreek de resultaten en het plan van aanpak vervolgens met het (lijn)management. 

‘Monitoren is meten, meten is weten.’ 

Meet gedurende het traject een aantal keren de voortgang en breng de organisatie op de hoogte van het resultaat. Werkt het programma of dient het te worden bijgesteld? Voer praktijktesten uit zoals: mystery visits, telefonische aanvallen en phishing tests.

Stap 4: Commitment
Een goed programma heeft draagvlak nodig en verzorg je niet alleen. Verzamel de juiste bemanning en competenties in je projectgroep. Vergeet hierbij ook niet de HR-afdeling, Communicatie en uiteraard de lijn! Laat het team meedenken en bepalen. Zorg voor commitment bij het management en dus voor budget. Het lijnmanagement heeft de rol van ”probleemeigenaar’. Dus mochten de (awareness) resultaten tegenvallen dan moeten ze dit ervaren als risico en er mee aan de slag gaan.

Stap 5: Wees creatief: zorg dat het opvalt en leeft
Een succesvol awareness programma valt op en heeft herkenbare symbolen. Zorg dat medewerkers het er met elkaar over hebben. Zorg voor een professionele uitstraling en ga voor de combi: leerzaam en leuk. De game Alcatraz van Insite Security is een goed voorbeeld. Dit spel betrekt deelnemers actief bij het onderwerp informatiebeveiliging waardoor er draagvlak ontstaat voor informatieveilig werken.

‘Zet E-learning en gaming in voor een hogere commitment.

Een e-learning module waarin gaming-elementen zijn verwerkt, scoort beter dan een eenvoudige vragenlijst. Speel ‘leentjebuur’ bij andere interne succesvolle programma’s. Probeer aan te sluiten op wat goed werkt in jouw organisatie.

Stap 6: Focus op gedragsverandering
Bepaal vooraf wat de medewerker moet doen; wat wordt er gedurende en aan het eind van het programma van hem verwacht? We noemen dit doelgedrag. Bijvoorbeeld: de medewerker moet het beeldscherm vergrendelen bij het verlaten van de werkplek. 

Het bepalen van het doelgedrag is tijdrovend, maar een essentieel onderdeel in de voorbereidingsfase. Met de nulmeting zien we hoe mensen zich nu gedragen. Vervolgens kan aan de hand van de uitkomsten worden nagegaan wat de medewerker helpt om het juiste doelgedrag te laten zien. Welke triggers zet je in zodat de medewerker volhardt in zijn nieuwe aangeleerde gedrag?

Stap 7: Continue verbeteren
Zorg voor een tijdshorizon van drie jaar. Gedrag is weerbarstig en wil je werken aan gedragsverandering dan dien je elke drie maanden iets aan te bieden om het doelgedrag te bevestigen of te belonen. Zorg ervoor dat je programma up to date is en pas het aan op andere risico’s of nieuwe wet en regelgeving.

Succes verzekerd?
Het ontwikkelen van een awareness programma dat werkt is een uitdagende klus. Maar met deze 7 stappen in je plan van aanpak, creëer je succes en impact!

Benieuwd naar meer? Meld je hier aan voor de training Security Awareness